15.10.2013

RO

Jurnalul Oficial al Uniunii Europene

L 273/41

---

DECIZIA AUTORITĂȚII EUROPENE PENTRU PROTECȚIA DATELOR

din 17 decembrie 2012

privind adoptarea Regulamentului de procedură

(2013/504/UE)

AUTORITATEA EUROPEANĂ PENTRU PROTECȚIA DATELOR,

având în vedere Regulamentul (CE) nr. 45/2001 al Parlamentului European și al Consiliului din 18 decembrie 2000 privind protecția persoanelor fizice cu privire la prelucrarea datelor cu caracter personal de către instituțiile și organele comunitare și privind libera circulație a acestor date (1), în special articolul 46 litera (k),

întrucât:

(1)

Articolul 8 din Carta drepturilor fundamentale și articolul 16 din Tratatul privind funcționarea Uniunii Europene prevăd că respectarea normelor referitoare la protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal care le privesc de către instituțiile, organismele, oficiile și agențiile Uniunii va face obiectul controlului unei autorități independente.

(2)

Regulamentul (CE) nr. 45/2001 prevede instituirea unei autorități independente denumite Autoritatea Europeană pentru Protecția Datelor, responsabilă cu asigurarea respectării de către instituțiile și organismele comunitare a drepturilor și libertăților fundamentale ale persoanelor fizice, în special dreptul acestora la viața privată în ceea ce privește prelucrarea datelor cu caracter personal.

(3)	Regulamentul (CE) nr. 45/2001 prevede, de asemenea, sarcinile și competențele Autorității Europene pentru Protecția Datelor, precum și numirea Autorității Europene pentru Protecția Datelor și a adjunctului Autorității.

(4)	Regulamentul (CE) nr. 45/2001 prevede și faptul că Autoritatea Europeană pentru Protecția Datelor va beneficia de asistența unui Secretariat și stabilește o serie de dispoziții privind personalul și aspectele legate de buget.

(5)	Decizia nr. 1247/2002/CE a Parlamentului European, a Consiliului și a Comisiei din 1 iulie 2002 privind statutul și condițiile generale de exercitare a atribuțiilor Autorității Europene pentru Protecția Datelor stabilește o serie de dispoziții suplimentare în acest domeniu (2).

(6)	Alte dispoziții ale legislației Uniunii prevăd sarcini și competențe suplimentare ale Autorității Europene pentru Protecția Datelor,

ADOPTĂ PREZENTUL REGULAMENT DE PROCEDURĂ:

CAPITOLUL I

DISPOZIȚII GENERALE

Articolul 1

Executarea sarcinilor și competențelor

Autoritatea Europeană pentru Protecția Datelor își execută sarcinile și competențele impuse de Regulamentul (CE) nr. 45/2001 și de alte dispoziții ale legislației Uniunii.

Articolul 2

Definiții

În prezentul regulament:

(a)	„regulamentul” înseamnă Regulamentul (CE) nr. 45/2001;

(b)	„instituția” înseamnă o instituție, organism, oficiu sau agenție a Uniunii în conformitate cu Regulamentul (CE) nr. 45/2001;

(c)	„AEPD” înseamnă Autoritatea Europeană pentru Protecția Datelor ca instituție;

(d)	„Autoritatea” înseamnă, în afara cazului în care se specifică altfel, persoanele care dețin funcția de Autoritate Europeană pentru Protecția Datelor și de adjunct al Autorității;

(e)	„măsură administrativă” înseamnă o decizie sau orice alt act al administrației Uniunii, cu aplicare generală, care se referă la prelucrarea datelor cu caracter personal de către instituție.

CAPITOLUL II

INSTITUȚIA ȘI SECRETARIATUL

Articolul 3

Independența, buna guvernanță și buna conduită administrativă

(1)   În conformitate cu articolul 44 din regulament, Autoritatea își exercită atribuțiile în deplină independență.

(2)   Autoritatea asigură funcționarea adecvată a serviciilor disponibile pentru executarea sarcinilor menționate la articolul 1, luând în considerare principiile bunei guvernanțe, bunei conduite administrative și bunei gestionări.

Articolul 4

Rolurile autorității și adjunctului autorității

(1)   Autoritatea și adjunctul Autorității sunt responsabili, în calitate de membri ai instituției, de adoptarea strategiilor, politicilor și deciziilor și cooperează în ceea ce privește executarea sarcinilor menționate la articolul 1. Adjunctul Autorității îndeplinește aceste sarcini în cazul absenței sau incapacității Autorității și viceversa.

(2)   Autoritatea și adjunctul Autorității încearcă să ajungă la un consens cu privire la strategiile și politicile generale și cu privire la alte aspecte importante, inclusiv cele legate de Secretariat. Autoritatea ia deciziile în cazul în care nu se poate ajunge la consens, iar problema este urgentă.

(3)   Autoritatea, acționând în strânsă cooperare cu adjunctul Autorității, stabilește o diviziune a sarcinilor între cele două funcții, inclusiv în ceea ce privește funcția care va fi principala responsabilă de elaborarea, adoptarea și monitorizarea deciziilor și de delegarea sarcinilor către adjunctul Autorității, după caz.

Articolul 5

Secretariatul

(1)   În conformitate cu articolul 43 alineatul (4) din regulament, Autoritatea este sprijinită de un Secretariat, ale cărui sarcini și metode de lucru sunt definite de către Autoritate.

(2)   Autoritatea poate delega anumite sarcini anumitor membri ai personalului, cu posibilitatea ca aceștia să fie înlocuiți cu alți membri ai personalului.

(3)   Autoritatea instituie mai multe unități și sectoare care formează Secretariatul, pentru a veni în sprijinul pregătirii și executării sarcinilor menționate la articolul 1. Unitățile și sectoarele sunt conduse fiecare de un șef de unitate sau sector.

Articolul 6

Directorul

(1)   Secretariatul este condus de un director, care ia toate măsurile necesare pentru asigurarea funcționării corespunzătoare a Secretariatului și utilizarea eficientă a resurselor, inclusiv înlocuirea directorului în cazul absenței sau incapacității acestuia de a acționa.

(2)   Directorul este responsabil de:

(a)	elaborarea și punerea în aplicare a strategiilor și politicilor;

(b)	contribuția la evaluarea și elaborarea acestora;

(c)	coordonarea și planificarea activităților, evaluarea rezultatelor și reprezentarea instituției în relațiile cu alte instituții și organisme, după caz.

Articolul 7

Consiliul de administrație

(1)   Membrii Consiliul de administrație sunt Autoritatea, adjunctul Autorității și directorul. Consiliul se reunește la intervale regulate, în mod normal o dată pe săptămână, pentru a discuta strategiile și politicile generale și alte aspecte importante și pentru a contribui la buna coordonare a activităților relevante.

(2)   Directorul asigură funcționarea adecvată a secretariatului Consiliului de administrație.

Articolul 8

Reuniunile directorului

Directorul se întâlnește la intervale regulate, în mod normal o dată pe săptămână, cu șefii de unitate și de sector pentru a asigura coordonarea și planificarea activităților și elaborarea și punerea în aplicare a strategiilor și politicilor. Directorul asigură funcționarea adecvată a secretariatului reuniunilor directorului.

Articolul 9

Autoritatea împuternicită să facă numiri

(1)   Directorul exercită puterile acordate autorității împuternicite să facă numiri, în sensul articolului 2 din Statutul funcționarilor Uniunii Europene, și puterile acordate autorității împuternicite să încheie contracte de muncă, în sensul articolului 6 din Regimul aplicabil celorlalți agenți ai Uniunii Europene, precum și orice alte puteri asociate care decurg din alte decizii administrative, atât la nivelul AEPD cât și de natură interinstituțională, în măsura în care decizia Autorității privind exercitarea puterilor acordate autorității însărcinate cu numirile și autorității însărcinate să încheie contracte de muncă nu prevede altfel.

(2)   Directorul poate delega exercitarea puterilor menționate la alineatul (1) funcționarului responsabil cu gestionarea resurselor umane.

Articolul 10

Ordonatorul de credite și contabilul

(1)   Competențele de ordonator de credite sunt exercitate de Autoritate. Competențele de ordonator de credite delegat și de ordonator de credite subdelegat sunt exercitate de persoanele numite în carta atribuțiilor și responsabilităților ordonatorilor de credite delegați și carta atribuțiilor și responsabilităților ordonatorilor de credite subdelegați.

(2)   Contabilul Comisiei Europene este contabilul AEPD.

CAPITOLUL III

DELEGAREA ȘI SUBSTITUIREA

Articolul 11

Delegări

(1)   Autoritatea poate delega directorului competența de a adopta și semna textul definitiv al oricărei decizii sau al oricărui aviz, a cărei substanță a fost deja stabilită.

(2)   În cazul în care competențele au fost delegate directorului, în temeiul alineatului (1), directorul poate subdelega puterea de a exercita respectivele competențe în absența sa șefului de unitate sau de sector corespunzător.

(3)   Alineatele (1) și (2) nu aduc atingere normelor privind delegarea în ceea ce privește competențele acordate autorității însărcinate cu numiri sau cele referitoare la aspecte financiare, astfel cum se prevede la articolele 9 și 10.

Articolul 12

Substituirea

(1)   În absența Autorității și a adjunctului Autorității sau în cazul în care aceștia nu își pot exercita funcțiile, directorul acționează, dacă este cazul, ca supleant în ceea ce privește aspectele care necesită urgent atenție în timpul unor asemenea perioade de absență sau de incapacitate de a acționa.

(2)   În cazul în care directorul nu își poate exercita funcțiile sau postul este vacant, iar Autoritatea nu a desemnat niciun funcționar, funcțiile directorului sunt exercitate de șeful de unitate sau de sector prezent, având gradul cel mai înalt, sau, în cazul unui grad egal, de șeful de unitate sau de sector cu cea mai mare vechime în gradul respectiv sau, în caz de vechime egală, de cel mai în vârstă.

(3)   În cazul în care nu este prezent niciun șef de unitate sau de sector și nu a fost desemnat niciun funcționar, funcționarul prezent în respectiva unitate sau sector, având gradul cel mai înalt, sau, în cazul unui grad egal, funcționarul cu cea mai mare vechime în gradul respectiv sau, în cazul unei vechimi egale, cel mai în vârstă acționează ca supleant.

(4)   În cazul în care niciun alt superior ierarhic nu își poate exercita atribuțiile sau postul este vacant, directorul desemnează un funcționar, de comun acord cu Autoritatea. Dacă nu a fost desemnat niciun supleant, funcționarul prezent în unitatea sau sectorul în cauză, având gradul cel mai înalt sau, în cazul unui grad egal, funcționarul subordonat cu cea mai mare vechime în gradul respectiv sau, în caz de vechime egală, cel mai în vârstă acționează ca supleant.

(5)   Alineatele (1)-(4) nu aduc atingere normelor privind delegarea în ceea ce privește puterile acordate autorității însărcinate cu numirile sau cele referitoare la aspecte financiare, astfel cum se prevede la articolele 9 și 10.

CAPITOLUL IV

PLANIFICAREA

Articolul 13

Planul anual de gestionare

(1)   În conformitate cu principiile bunei administrări și bunei gestiuni financiare, AEPD elaborează în fiecare an un plan anual de gestionare. Acest plan transpune strategia pe termen lung a AEPD în obiective generale și specifice. Indicatorii de performanță și obiectivele urmărite sunt definite și evaluate de două ori pe an, în vederea monitorizării și urmăririi realizărilor.

(2)   Analiza de risc a activităților planificate ale AEPD este inclusă în planul anual de gestionare, care cuprinde riscurile identificate și planificarea reducerii riscurilor.

Articolul 14

Raportul anual

(1)   În conformitate cu articolul 48 din regulament, AEPD transmite un raport de activitate anual („raportul anual”) Parlamentului European, Consiliului și Comisiei și îl înaintează și celorlalte instituții.

(2)   Raportul anual este înaintat și publicat pe pagina de internet a AEPD până la data de 1 iulie a anului următor.

(3)   AEPD ia în considerare observațiile transmise de celelalte instituții menționate la alineatul (1), conform articolului 48 alineatul (2) din regulament, în vederea eventualei examinări ulterioare a raportului în Parlamentul European.

CAPITOLUL V

PROCEDURI SPECIFICE

SECȚIUNEA 1

Dispoziții generale

Articolul 15

Principii directoare și valori fundamentale

(1)   AEPD acționează în interesul public ca organism investit cu autoritate expert, independent, de încredere în domeniul protecției datelor, la nivelul Uniunii. Intervențiile AEPD se bazează pe imparțialitate, integritate, transparență și pragmatism.

(2)   AEPD cooperează în mod constructiv cu părțile interesate, în scopul asigurării unui echilibru corect între protecția datelor și confidențialitate și alte interese și politici.

(3)   Supravegherea instituțiilor se bazează pe principiul că responsabilitatea pentru conformitate revine în principal operatorilor înșiși.

Articolul 16

Politica privind activitățile

AEPD adoptă documente de politică pentru a prezenta principalele elemente ale politicii AEPD referitoare la activități specifice, atunci când acest lucru este relevant pentru oferirea de îndrumări privind poziția AEPD în raport cu o activitate specifică. Documentele de politică se actualizează periodic.

Articolul 17

Monitorizarea respectării regulamentului

AEPD efectuează periodic exerciții de monitorizare, pentru a asigura o prezentare de ansamblu adecvata în ceea ce privește respectarea protecției datelor în cadrul instituțiilor. Aceste exerciții pot fi generale sau mai specifice, în funcție de cunoștințele și dovezile colectate în cursul desfășurării activităților de supraveghere.

Articolul 18

Aplicarea

AEPD aplică obligațiile de protecție a datelor utilizând competențele care îi sunt acordate în conformitate cu articolul 47 din regulament. Aceste competențe sunt exercitate în măsură maximă în cazurile de nerespectare gravă, deliberată sau repetată.

SECȚIUNEA 2

Verificări prealabile

Articolul 19

Solicitarea unei verificări prealabile

(1)   În conformitate cu articolul 27 din regulament, operațiunile de prelucrare care, prin natura, domeniul de aplicare sau scopurile lor, ar putea prezenta riscuri specifice pentru drepturile si libertățile persoanelor vizate, fac obiectul unei verificări prealabile de către AEPD, în urma primirii unei notificări din partea responsabilului cu protecția datelor al unei instituții.

(2)   În cazul în care există îndoieli cu privire la necesitatea efectuării unei verificări prealabile, AEPD stabilește, la cererea responsabilului cu protecția datelor, dacă operațiunea de prelucrare prezintă riscuri specifice și, dacă da, îl invită pe responsabilul cu protecția datelor să notifice cazul în mod corespunzător.

(3)   Dacă operațiunea de prelucrare nu prezintă riscuri specifice, AEPD poate transmite totuși anumite recomandări instituției în cauză.

(4)   Notificările privind verificarea prealabilă vor fi transmise secretariatului AEPD prin e-mail, fiind utilizat formularul AEPD standard.

(5)   Orice informații suplimentare relevante cu privire la operațiunea de prelucrare notificată pot fi anexate la formularul de notificare.

Articolul 20

Avize privind verificarea prealabilă

(1)   AEPD adoptă un aviz în care sunt prezentate motivele și concluziile relevante ale verificării prealabile.

(2)   Dacă prelucrarea notificată implică o posibilă încălcare a unei dispoziții din regulament, AEPD prezintă, după caz, propuneri pentru evitarea unei astfel de încălcări.

Articolul 21

Termene-limită și suspendări privind adoptarea avizului de verificare prealabilă

(1)   În conformitate cu articolul 27 alineatul (4) din regulament, AEPD emite avizul în termen de două luni de la primirea notificării. AEPD poate solicita orice informații suplimentare considerate necesare. Termenul de două luni poate fi suspendat până când AEPD obține informațiile suplimentare pe care le-a solicitat. Atunci când complexitatea problemei o cere, termenul de două luni poate fi prelungit o singură dată pentru încă două luni.

(2)   Dacă avizul nu a fost emis până la sfârșitul termenului de două luni sau al oricărei perioade de prelungire al acestuia, se consideră că avizul este favorabil.

(3)   Data de la care începe calcularea termenului-limită este ziua următoare datei la care a fost primit formularul de notificare.

(4)   Dacă data finală este o sărbătoare legală sau o altă zi în care birourile AEPD sunt închise, ziua lucrătoare următoare este considerată data finală pentru emiterea avizului.

Articolul 22

Termene-limită și suspendări

(1)   Înainte de adoptarea unui aviz, AEPD transmite un proiect de aviz instituției, pentru a obține comentarii privind aspectele de ordin practic și datele inexacte. Instituția transmite comentariile respective în termen de 10 zile de la primirea proiectului. Acest termen poate fi prelungit la cererea justificată a operatorului. Cererea privind comentariile determină suspendarea termenului menționat la articolul 21 alineatul (1). Dacă nu se primește niciun comentariu până la termenul-limită, AEPD procedează la adoptarea avizului.

(2)   AEPD acordă instituției trei luni de la data adoptării avizului pentru furnizarea informațiilor referitoare la implementarea recomandărilor din aviz. Informațiile fac obiectul monitorizării de către AEPD.

Articolul 23

Registrul de verificare prealabilă

(1)   În conformitate cu articolul 27 alineatul (5) din regulament, AEPD păstrează un registru al tuturor operațiunilor de prelucrare care i-au fost notificate în temeiul articolului 27 din regulament.

(2)   Registrul exclude orice referire la măsurile de securitate. Acesta va conține o trimitere către avizul AEPD și informații privind termenul limită pentru furnizarea informațiilor de către instituție în conformitate cu articolul 22 alineatul (2). Registrul este disponibil pe pagina de internet a AEPD.

SECȚIUNEA 3

Consultarea administrativă

Articolul 24

Consultarea administrativă

(1)   În conformitate cu articolul 28 alineatul (1) din regulament, AEPD este informată de către instituții în legătură cu inițierea unor măsuri administrative privind prelucrarea datelor cu caracter personal.

(2)   În conformitate cu articolul 46 litera (d) din regulament, ca răspuns la o consultare, AEPD formulează recomandări pentru instituții cu privire la toate aspectele referitoare la prelucrarea datelor cu caracter personal, în special înainte ca acestea să elaboreze normele interne referitoare la protecția drepturilor și libertăților fundamentale în legătură cu prelucrarea datelor cu caracter personal.

(3)   În principiu, AEPD ia în considerare numai consultările care au fost transmise mai întâi în scop de consultare responsabilului cu protecția datelor din instituția în cauză.

Articolul 25

Avize

(1)   AEPD transmite, în principiu, un aviz în termen de două luni de la primirea cererii de consultare. AEPD poate solicita orice alte informații suplimentare pe care le consideră necesare. Perioada de două luni poate fi suspendată până când AEPD obține informațiile solicitate.

(2)   AEPD îi acordă instituției trei luni de la data adoptării avizului pentru furnizarea informațiilor referitoare la punerea în aplicare a recomandărilor formulate în aviz. Informațiile fac obiectul monitorizării de către AEPD.

SECȚIUNEA 4

Consultare legislativă și referitoare la politici

Articolul 26

Obiectul consultării

(1)   În conformitate cu articolul 41 și articolul 28 alineatul (2) din regulament, AEPD formulează recomandări privind propunerile legislative în temeiul tratatelor și al altor acte și documente, precum:

(a)	decizii în cadrul politicii externe și de securitate comună;

(b)	acte de implementare și acte delegate;

(c)	documente referitoare la acordurile cu țări terțe și organizații internaționale;

(d)	inițiative legislative ale statelor membre în temeiul tratatelor;

(e)	inițiative pentru intensificarea cooperării;

(f)	acte neobligatorii, precum recomandări și comunicări referitoare la protecția drepturilor și libertăților persoanelor în legătură cu prelucrarea datelor cu caracter personal.

AEPD formulează astfel de recomandări în urma unei consultări a Comisiei în conformitate cu articolul 28 alineatul (2) din regulament, în urma oricărei alte cereri din partea unei instituții sau din proprie inițiativă.

(2)   AEPD este disponibilă pentru consultări cu instituțiile în cauză în toate etapele procedurii legislative.

Articolul 27

Consultare informală

(1)   Așa cum s-a convenit cu Comisia, AEPD trebuie consultată înainte de luarea de către Colegiul Comisarilor a unei decizii finale privind adoptarea unei măsuri sau a unei propuneri legislative sau a unui document de politică. Ca răspuns la o astfel de consultare, AEPD furnizează serviciului responsabil al Comisiei observații informale referitoare la proiectul de propunere sau documentul aferent.

(2)   Observațiile informale furnizate în conformitate cu alineatul (1) respectă confidențialitatea procedurii de luare a deciziilor interne a Comisiei, în conformitate cu normele aplicabile în temeiul tratatelor și legislației secundare. AEPD depune eforturi pentru a respecta termenele-limită propuse de serviciile Comisiei, în măsura în care acest lucru este rezonabil și fezabil.

Articolul 28

Avize legislative și observații formale

(1)   Recomandările AEPD privind o propunere legislativă sau un document conex pot fi emise sub forma unui aviz, a unor observații formale sau a oricărui alt instrument considerat adecvat.

(2)   Un aviz emis de AEPD analizează aspectele legate de protecția datelor ale unei propuneri sau ale unui document conex. În principiu, acesta este emis în termen de trei luni de la adoptarea propunerii sau documentului aferent.

(3)   Un rezumat al avizului se publică în Jurnalul Oficial al Uniunii Europene (Seria C), iar versiunea completă se publică pe pagina de internet a AEPD.

(4)   Observațiile oficiale ale AEPD se axează pe aspectele specifice ale unei propuneri sau ale unui document conex. În principiu, acestea sunt emise în termen de două luni de la adoptarea documentului. Avizele se publică pe pagina de internet a AEPD.

Articolul 29

Priorități anuale și inventar

(1)   AEPD își publică prioritățile anuale pe pagina de internet a AEPD.

(2)   AEPD publică de trei ori pe an pe pagina de internet un inventar al propunerilor legislative și al documentelor conexe în privința cărora dorește să emită recomandări. În inventar sunt clasificate respectivele documente în funcție de prioritate.

(3)   Inventarul se bazează pe Programul de lucru anual al Comisiei și pe anexele actualizate la acesta, precum și pe orice alte informații pertinente disponibile.

Articolul 30

Urmărirea avizelor legislative și a observațiilor oficiale

(1)   Ulterior emiterii recomandărilor AEPD urmărește în mod activ evoluțiile din cadrul Parlamentului European, al Consiliului și a Comisiei.

(2)   Autoritatea este disponibilă să prezinte verbal și să discute recomandările AEPD în cadrul unei întâlniri cu legislatorul sau să transmită orice alte contribuții solicitate.

(3)   În cazul în care o măsură legislativă dezbătută a suferit modificări majore, AEPD poate transmite un aviz suplimentar, observații suplimentare sau orice alt instrument considerat adecvat.

SECȚIUNEA 5

Plângeri

Articolul 31

Plângeri

(1)   În conformitate cu articolul 46 litera (a) din regulament, AEPD primește plângerile și le examinează în măsura în care este posibil și informează persoana vizată cu privire la rezultat într-un termen rezonabil.

(2)   Plângerile depuse la AEPD nu afectează termenele pentru exercitarea căilor de atac în cadrul unor proceduri administrative sau judiciare paralele.

Articolul 32

Depunerea unei plângeri

(1)   Plângerea trebuie să conțină datele de identificare ale persoanei care o depune.

(2)   Plângerea se depune în scris în orice limbă oficială a Uniunii și furnizează toate informațiile necesare pentru înțelegerea obiectului acesteia.

(3)   Plângerea se depune, în principiu, în termen de doi ani de la data la care reclamantul a luat cunoștință de faptele care stau la baza plângerii.

(4)   Dacă o plângere referitoare la aceleași fapte a fost depusă la Ombudsmanul European, AEPD examinează admisibilitatea acesteia din perspectiva dispozițiilor Memorandumului de înțelegere încheiat între AEPD și Ombudsmanul European (3).

Articolul 33

Soluționarea plângerilor

(1)   AEPD hotărăște cea mai adecvată formă și cele mai adecvate mijloace de soluționare a plângerilor, luând în considerare:

(a)	natura și gravitatea presupusei încălcări a normelor de protecție a datelor;

(b)	importanța prejudiciului pe care una sau mai multe persoane vizate l-au suferit sau l-ar fi putut suferi ca urmare a încălcării respective;

(c)	importanța potențială generală a cazului, inclusiv în ceea ce privește celelalte interese publice și/sau private implicate;

(d)	probabilitatea de a se stabili că încălcarea respectivă a avut loc;

(e)	data exactă la care au avut loc evenimentele, orice conduită care nu mai produce efecte, înlăturarea respectivelor efecte sau o garanție adecvată privind o astfel de înlăturare.

(2)   Acțiunile AEPD pot consta în special din cereri scrise de furnizare de informații, interviuri cu persoanele relevante, controale la fața locului sau examinări judiciare ale dispozitivelor relevante.

(3)   AEPD divulgă conținutul unei plângeri și identitatea reclamantului numai în măsura în care acest lucru este necesar pentru desfășurarea adecvată a anchetei. Pe parcursul anchetei și ulterior, AEPD nu pune la dispoziția părților terțe niciun fel de documente în legătură cu plângerea, inclusiv decizia finală, exceptând cazul în care persoanele implicate își exprimă acordul în acest sens sau dacă AEPD are obligația legală de a proceda astfel.

(4)   Informațiile referitoare la plângere sunt publicate de AEPD doar într-o formă care nu permite identificarea reclamantului sau a altor persoane vizate implicate.

Articolul 34

Rezultatul plângerilor

(1)   AEPD îl informează pe reclamant imediat ce acest lucru este posibil cu privire la rezultatul unei plângeri și la măsurile luate.

(2)   Atunci când se consideră că o plângere este inadmisibilă sau că examinarea ei s-a încheiat, AEPD recomandă, după caz, reclamantului să se adreseze unei alte autorități.

(3)   În conformitate cu articolul 32 alineatul (2) din regulament, în lipsa unui răspuns din partea AEPD în termen de șase luni, plângerea este considerată respinsă.

Articolul 35

Reexaminarea deciziilor și căile judiciare de atac

(1)   Reclamantul și instituția vizată pot solicita în scris AEPD să reexamineze decizia prin care se soluționează o plângere.

(2)   Cererea de reexaminare se depune în termen de o lună de la data primirii deciziei și trebuie să se limiteze la elemente noi sau argumente juridice care nu au fost luate în considerare de către AEPD.

(3)   Pe lângă posibilitatea de a solicita AEPD o reexaminare a deciziei referitoare la o plângere, decizia poate fi atacată la Curtea de Justiție a Uniunii Europene în conformitate cu condițiile prevăzute la articolul 263 din Tratatul privind funcționarea Uniunii Europene.

SECȚIUNEA 6

Inspecții și vizite

Articolul 36

Inspecții

(1)   AEPD decide să efectueze o inspecție ori de câte ori verificarea la fața locului este considerată necesară pentru îndeplinirea sarcinilor de supraveghere sau pentru respectarea unei obligații legale.

(2)   Efectuarea unei inspecții este anunțată în scris instituției în cauză cu patru săptămâni înaintea datei planificate pentru inspecție. În comunicare se descriu scopul și domeniul inspecției, se stabilește data la care va avea loc inspecția și termenul până la care instituția poate solicita schimbarea datei precum și cel până la care este obligată să furnizeze AEPD informațiile solicitate.

(3)   AEPD emite apoi o decizie privind inspecția, stabilind scopul, domeniul, data (datele), ora și locul (locurile) inspecției și specificând temeiul juridic al activităților de inspecție. Decizia este însoțită de mandatele membrilor personalului care urmează să participe la inspecție.

(4)   Membrii personalului care efectuează o inspecție colectează toate documentele justificative în mod selectiv și proporționat. Toate probele documentare sunt asigurate în mod adecvat.

(5)   Interviurile și informațiile obținute în cursul unei inspecții și procedura urmată se consemnează în procesele-verbale transmise instituției pentru eventuale observații. Dacă nu se primesc observații în perioada stabilită, se consideră că procesele-verbale au fost aprobate. O listă a documentelor justificative colectate în cursul controlului va fi anexată la procesele-verbale.

(6)   AEPD prezintă într-un raport de inspecție constatările la care a ajuns în cursul inspecției. Raportul include eventualele măsuri care trebuie luate de instituția supusă inspecției și face obiectul monitorizării de către AEPD.

Articolul 37

Vizite

(1)   Vizitele sunt efectuate de AEPD în scopul obținerii angajamentului conducerii la nivel înalt a unei instituții față de încurajarea respectării regulamentului.

(2)   O vizită este de regulă inițiată dacă există o lipsă a angajamentului de respectare a regulamentului, un deficit de comunicare sau pentru creșterea gradului de conștientizare.

(3)   Dacă este cazul, vizita se încheie printr-un acord asupra unui calendar („foaie de parcurs”) prin care conducerea instituției se angajează să respecte obligațiile specifice în temeiul regulamentului, până la un termen-limită stabilit. Calendarul convenit face obiectul monitorizării de către AEPD.

SECȚIUNEA 7

Tehnologia de monitorizare

Articolul 38

Tehnologie și cercetare

(1)   În conformitate cu articolul 46 litera (e) din regulament, AEPD monitorizează evoluția tehnologiilor informației și comunicațiilor. În acest scop, AEPD urmărește identificarea tendințelor în curs de dezvoltare care au un eventual impact asupra protecției datelor, stabilirea de contacte cu părțile interesate, creșterea gradului de conștientizare a unor posibile aspecte privind protecția datelor și formularea de recomandări cu privire la modul în care pot fi incluse problemele legate de protecția datelor în proiectele relevant, prin promovarea principiilor protecției datelor începând cu momentul conceperii și cel al protecției implicite a datelor și, acolo unde este necesar, adaptarea metodologiilor de supraveghere la evoluția tehnologică.

(2)   AEPD contribuie la programele cadru ale Uniunii, participând în comitete consultative de cercetare, oferind asistență Comisiei în procesul de evaluare al propunerilor sau prin orice alte mijloace, dacă este cazul.

(3)   AEPD poate decide să contribuie la activități de cercetare, de dezvoltare tehnologică și demonstrative individuale, finanțate de UE, prin adoptarea unui aviz referitor la activitate, la cerere, sau din proprie inițiativă.

SECȚIUNEA 8

Acțiuni în instanță

Articolul 39

Acțiuni împotriva instituțiilor

În conformitate cu articolul 47 alineatul (1) litera (h) din regulament, AEPD poate sesiza Curtea de Justiție a Uniunii Europene, în condițiile prevăzute de tratat. AEPD își exercită această competență, dacă este necesar, în cazul în care o instituție nu respectă regulamentul și în cazul în care nu răspunde cu eficacitate măsurilor ulterioare de aplicare luate de AEPD în conformitate cu articolul 47 din regulament.

Articolul 40

Acțiuni împotriva deciziilor AEPD

În conformitate cu articolul 32 alineatul (3) din regulament, deciziile AEPD pot fi atacate la Curtea de Justiție a Uniunii Europene.

Articolul 41

Intervenții

(1)   În conformitate cu articolul 47 alineatul (1) litera (i) din regulament, AEPD poate interveni în cauzele aduse în fața Curții de Justiție a Uniunii Europene.

(2)   AEPD formulează cerere de intervenție într-o acțiune dacă respectiva cauză este de interes general în ceea ce privește protecția datelor sau dacă AEPD a fost implicată direct în circumstanțele cauzei, în îndeplinirea sarcinilor sale de supraveghere.

(3)   Alte elemente care pot influența decizia de a formula o cerere de intervenție sunt măsura în care aspectele legate de protecția datelor reprezintă o parte substanțială a cazului și dacă o intervenție din partea AEPD poate adăuga valoare acțiunii.

(4)   Cu excepția cazului în care există motive întemeiate pentru a nu interveni, AEPD formulează cerere de intervenție, dacă este invitată în mod oficial de către Curte să procedeze astfel.

CAPITOLUL VI

RESPONSABILII CU PROTECȚIA DATELOR

Articolul 42

Cooperarea cu responsabilii cu protecția datelor

(1)   AEPD cooperează cu responsabilii cu protecția datelor, atât în mod bilateral cât și prin participarea la reuniunile organizate de rețeaua responsabililor cu protecția datelor.

(2)   AEPD oferă sprijin și consiliere responsabililor cu protecția datelor, dacă acest lucru este necesar pentru îndeplinirea sarcinilor care le revin.

Articolul 43

Registrul responsabililor cu protecția datelor numiți

În conformitate cu articolul 24 alineatul (5) din regulament, AEPD păstrează un registru al numirilor responsabililor cu protecția datelor care i-au fost notificate. Registrul conține în special informații cu privire la durata mandatului fiecărui responsabil cu protecția datelor.

CAPITOLUL VII

COOPERAREA CU AUTORITĂȚILE DE PROTECȚIE A DATELOR

Articolul 44

Cooperarea cu autoritățile de protecție a datelor

(1)   În conformitate cu articolul 46 literele (f) și (i) din regulament, AEPD cooperează cu autoritățile naționale de protecție a datelor și cu alte organisme de supraveghere în măsura în care acest lucru este necesar pentru îndeplinirea atribuțiilor acestor autorități și organisme.

(2)   Cooperarea include:

(a)	schimbul tuturor informațiilor relevante, spre exemplu informațiile referitoare la bunele practici, precum și cererile adresate autorității competente pentru a-și exercita competențele și răspunsul autorității în cauză la astfel de cereri;

(b)	dezvoltarea și menținerea contactelor cu membrii și personalul relevant al autorităților;

(c)	cooperarea cu autoritățile și organismele comune de supraveghere instituite în temeiul legislației Uniunii, inclusiv, dacă este cazul, participarea la reuniunile acestor autorități și organisme, pentru asigurarea unor practici consecvente.

Articolul 45

Grupul de lucru pentru protecția persoanelor în ceea ce privește prelucrarea datelor cu caracter personal

(1)   În conformitate cu articolul 46 litera (g) din regulament, AEPD participă la activitățile grupului de lucru constituit în temeiul articolului 29 din Directiva 95/46/CE a Parlamentului European și a Consiliului din 24 octombrie 1995 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal și libera circulație a acestor date (4).

(2)   AEPD contribuie în mod activ la discutarea și elaborarea documentelor publicate de grupul de lucru care au ca scop oferirea unei interpretări comune a legislației privind protecția datelor și adresarea de recomandări de specialitate Comisiei Europene. În astfel de cazuri, AEPD prezintă perspectiva Uniunii, dacă este cazul.

(3)   AEPD participă în mod regulat la reuniunile plenare și la reuniunile subgrupurilor grupului de lucru.

(4)   AEPD promovează discuții regulate, dacă este posibil cel puțin o dată pe an, cu președintele grupului de lucru în legătură cu prioritățile autorității și, respectiv, ale grupului de lucru, în vederea bunei cooperări practice.

Articolul 46

Supravegherea coordonată a sistemelor informatice la scară largă

(1)   AEPD ia parte împreună cu autoritățile de supraveghere naționale la supravegherea coordonată a sistemelor informatice la scară largă astfel cum prevede legislația Uniunii.

(2)   AEPD organizează reuniuni de coordonare și asigură funcția de secretariat al grupurilor de coordonare.

(3)   AEPD cooperează cu autoritățile de supraveghere naționale individuale, în măsura în care este necesar, în funcție de prioritățile acestora, în vederea asigurării supravegherii coordonate a sistemelor informatice la scară largă naționale și a componentelor principale ale acestora.

Articolul 47

Cooperarea internațională

(1)   AEPD ia parte la Conferința anuală de primăvară a comisarilor europeni pentru protecția datelor, la Conferința internațională anuală a comisarilor pentru protecția datelor și confidențialitate și la Grupul de lucru internațional pentru protecția datelor și telecomunicații.

(2)   AEPD participă la rețelele internaționale de aplicare a nomelor de protecție a vieții private.

(3)   AEPD organizează ateliere regulate cu reprezentanții organizațiilor internaționale în vederea schimbului de bune practici și creării unei culturi de protecție a datelor în respectivele organizații.

(4)   AEPD promovează cooperarea și dialogul la nivel internațional cu alte părți interesate din țările terțe.

CAPITOLUL VIII

ADMINISTRARE

Articolul 48

Securitatea

(1)   În conformitate cu articolul 45 din regulament, Autoritatea și precum și personalul acesteia, sunt obligați să respecte secretul profesional cu privire la informațiile confidențiale la care au avut acces în îndeplinirea atribuțiilor lor, atât pe durata mandatului, cât și după încetarea acestuia.

(2)   AEPD atribuie unuia sau mai multor membri ai personalului responsabilități specifice privind aspectele de securitate în diverse domenii de activitate. Aceștia vor fi responsabili în special de problemele de securitate legate de personal, de securitatea fizică și securitatea IT. Atunci când consideră că este necesar pentru evitarea riscurilor de securitate la adresa AEPD, membrii personalului numiți astfel prezintă rapoarte direct directorului.

Articolul 49

Comitetul director IT

Este instituit un Comitet director privind tehnologia informației, pentru oferirea de consiliere Consiliului de administrație în ceea ce privește implicațiile tehnologiei informației asupra securității și dezvoltării interne a AEPD.

Articolul 50

Managementul calității

AEPD creează mecanisme adecvate pentru a asigura un management adecvat al calității, precum standarde de control intern, un raport anual de activitate și gestionarea riscurilor.

Articolul 51

Responsabilul cu protecția datelor

În conformitate cu articolul 24 din regulament, AEPD numește un responsabil cu protecția datelor, care este direct subordonat directorului.

Articolul 52

Informarea publicului

(1)   AEPD crește gradul de conștientizare a aspectelor legate de protecția datelor și informează persoanele fizice în legătură cu existența și conținutul drepturilor lor. În acest scop, AEPD utilizează de o serie de instrumente de comunicare (de exemplu, pagina de internet, buletine informative, rețelele de socializare și evenimente de sensibilizare), stabilește contacte cu părțile interesate (de exemplu, vizite de studiu la sediul AEPD, răspunsuri la cererile de informare) și participă la evenimente publice, reuniuni și conferințe.

(2)   AEPD informează mass-media în legătură cu evenimentele majore legate de protecția datelor și avizele sau publicațiile importante, prin intermediul comunicatelor de presă, interviurilor și conferințelor de presă.

Articolul 53

Documentare

(1)   Se păstrează evidențe exacte și autentice ale tuturor activităților AEPD, asigurând o sursă de încredere și verificabilă din punct de vedere legal a probelor aferente deciziilor și acțiunilor.

(2)   Documentele referitoare la activități specifice sunt grupate în dosare de caz. Dosarele de caz sunt accesibile logic, în funcție de tipul de activitate, într-un plan de arhivare stabilit de AEPD.

(3)   Diversele tipuri de dosare de caz sunt păstrate pe o perioadă specifică, în conformitate cu un calendar de păstrare stabilit de AEPD. După expirarea perioadei de păstrare, dosarele de caz sunt evaluate și arhivate în conformitate cu politica de arhivare adoptată de AEPD.

Articolul 54

Divulgarea activă a documentelor

(1)   În principiu, toate documentele importante de politică, ghidurile tematice, avizele legislative, observațiile oficiale, notele de pledoarie din cadrul audierilor în fața Curții și avizele de verificare prealabilă sunt publicate pe pagina de internet a AEPD.

(2)   Avizele emise în urma unei consultări administrative sunt publicate pe pagina de internet a AEPD, dacă acestea au o relevanță mai mare, conțin o interpretare nouă sau o aplicare diferită a legii sau se referă la impactul noilor tehnologii asupra drepturilor persoanelor vizate.

Articolul 55

Publicarea în Jurnalul Oficial

Următoarele documente se publică în Jurnalul Oficial al Uniunii Europene:

(a)	rezumatele avizelor legislative menționate la articolul 28 alineatul (3);

(b)

deciziile și avizele AEPD sau rezumatele acestora, menționate la articolul 9 alineatul (7), articolul 10 alineatul (2) litera (b), articolul 10 alineatul (4), articolul 10 alineatul (5) și articolul 10 alineatul (6), articolul 12 alineatul (2), articolul 19 și articolul 37 alineatul (2) din regulament;

(c)	alte documente considerate relevante de către AEPD.

Articolul 56

Accesul public la documente

Publicul are acces la documentele deținute de AEPD în conformitate cu principiile prevăzute în Regulamentul (CE) nr. 1049/2001 al Parlamentului European și al Consiliului din 30 mai 2001 privind accesul public la documentele Parlamentului European, ale Consiliului și ale Comisiei (5).

Articolul 57

Autentificarea deciziilor

(1)   Deciziile sunt autentificate prin aplicarea semnăturii Autorității pe versiunea în limba originală.

(2)   Această semnătură poate fi în formă scrisă sau electronică.

Articolul 58

Limbi și limbi de lucru

(1)   Limba de procedură utilizată de AEPD este una din limbile menționate la articolul 55 alineatul (1) din Tratatul privind Uniunea Europeană. În cazul unei plângeri, aceasta este limba în care este redactată plângerea.

(2)   Rapoartele, avizele, lucrările și alte documente, destinate de asemenea publicării pe pagina de internet a AEPD, sunt redactate cel puțin în limbile engleză, franceză și germană.

Articolul 59

Personalul

(1)   Membrii personalului AEPD sunt recrutați în conformitate cu și sub rezerva Statutului funcționarilor Uniunii Europene și regimului aplicabil celorlalți agenți ai Uniunii Europene.

(2)   În vederea îmbunătățirii cooperării cu autoritățile naționale, în special cu autoritățile naționale de protecție a datelor, în cadrul AEPD se instituie un program de detașare a personalului.

(3)   Se instituie, de asemenea, un program de stagii, pentru a permite noilor absolvenți să dobândească experiență practică în legătură cu activitățile AEPD și ale Uniunii în general.

(4)   Pentru îndeplinirea necesităților temporare, poate fi angajat personal temporar și se poate apela la asistență externă.

Articolul 60

Comitetul de personal

(1)   Un Comitet de personalului care reprezintă personalul AEPD este consultat în timp util în legătură cu proiectele de decizii referitoare la punerea în aplicare a Statutului funcționarilor Uninunii Europene și poate fi consultat cu privire la orice altă problemă de interes general privind personalul. Comitetul de personal este informat în legătură cu orice problemă legată de executarea sarcinilor care îi revin. Comitetul emite avize în termen de 15 zile de la consultare.

(2)   Comitetul de personal contribuie la buna funcționare a AEPD, prin elaborarea de propuneri referitoare la aspectele organizatorice și condițiile de lucru.

(3)   Comitetul de personal este format din trei membri și trei adjuncți și este ales pentru o perioadă de doi ani de către Adunarea Generală.

Articolul 61

Cooperarea administrativă cu alte instituții

(1)   Directorul, în calitate de șef al Secretariatului, reprezintă AEPD în cadrul diferitelor forumuri interinstituționale și poate delega această reprezentare funcționarilor responsabili cu resursele umane, bugetul și administrarea.

(2)   Având în vedere dimensiunea AEPD comparativ cu cea a altor instituții și în scopul bunei gestionări și al economiilor bugetare, AEPD urmărește în mod activ să încheie acorduri de cooperare, memorandumuri de înțelegere și acorduri privind nivelul serviciilor cu alte instituții.

CAPITOLUL IX

DISPOZIȚII FINALE

Articolul 62

Intrarea în vigoare

Prezentul regulament de procedură intră în vigoare în ziua următoare semnării sale și este publicat în Jurnalul Oficial al Uniunii Europene.

---

(1)  JO L 8, 12.1.2001, p. 1.

(2)  JO L 183, 12.7.2002, p. 1.

(3)  JO C 27, 7.2.2007, p. 21.

(4)  JO L 281, 23.11.1995, p. 31.

(5)  JO L 145, 31.5.2001, p. 43.

---